CVE-2026-44782
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 - wyżej niż 7% wszystkich znanych CVE
Streszczenie
Discourse to otwarta platforma dyskusyjna, w której występuje błąd w serializacji atrybutu :name w GroupPostSerializer. Błąd polega na tym, że niewłaściwie nazwany predykat include_user_long_name? nie był wywoływany, co skutkowało zawsze serializowaniem object.user.name, niezależnie od ustawienia SiteSetting.enable_names.
Ocena ryzyka
Organizacje mogą być narażone na ujawnienie danych użytkowników, ponieważ imię użytkownika jest zawsze serializowane, co może prowadzić do nieautoryzowanego dostępu do informacji osobistych.
Rekomendacja
Zaleca się aktualizację Discourse do wersji 2026.1.4, 2026.3.1, 2026.4.1 lub 2026.5.0-latest.1, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Discourse is an open-source discussion platform. From versions 2026.1.0-latest to before 2026.1.4, 2026.3.0-latest to before 2026.3.1, and 2026.4.0-latest to before 2026.4.1, GroupPostSerializer declared include_user_long_name? as the predicate for its :name attribute, but AMS looks for include_name?. The misnamed predicate was never called, so object.user.name was always serialized regardless of SiteSetting.enable_names. This issue has been patched in versions 2026.1.4, 2026.3.1, 2026.4.1, and 2026.5.0-latest.1.

